Ordine di valutazione per criteri e regole firewall

Ogni rete Virtual Private Cloud (VPC) standard ha un ordine di applicazione dei criteri firewall di rete che determina l'ordine in cui Cloud NGFW valuta le regole dei criteri firewall.

Ordine di applicazione delle policy del firewall di rete

Una rete VPC può utilizzare uno di questi ordini di applicazione delle policy del firewall di rete:

  • AFTER_CLASSIC_FIREWALL (impostazione predefinita): Cloud NGFW valuta le policy e le regole firewall nel seguente ordine:

    1. Criteri firewall gerarchici
    2. Policy del firewall di sistema regionali
    3. Regole firewall VPC
    4. Criteri firewall di rete globali
    5. Criteri firewall di rete regionali
    6. Azioni implicite

  • BEFORE_CLASSIC_FIREWALL: Cloud NGFW valuta le policy e le regole firewall nel seguente ordine:

    1. Criteri firewall gerarchici
    2. Policy del firewall di sistema regionali
    3. Criteri firewall di rete globali
    4. Criteri firewall di rete regionali
    5. Regole firewall VPC
    6. Azioni implicite

Per modificare l'ordine di applicazione delle policy del firewall di rete, esegui una delle seguenti operazioni:

  • Utilizza il metodo networks.patch e imposta l'attributo networkFirewallPolicyEnforcementOrder della rete VPC.

  • Utilizza il comando gcloud compute networks update con il flag --network-firewall-policy-enforcement-order.

    Ad esempio:

    gcloud compute networks update VPC_NETWORK_NAME \
    --network-firewall-policy-enforcement-order=ENFORCEMENT_ORDER

Processo di valutazione delle regole firewall

Questa sezione descrive l'ordine in cui Cloud NGFW valuta le regole che si applicano alle risorse di destinazione nelle reti VPC regolari.

Ogni regola firewall è una regola in entrata o in uscita, a seconda della direzione del traffico:

  • Le regole di ingresso vengono applicate ai pacchetti per una nuova connessione ricevuta da una risorsa di destinazione. Le risorse di destinazione supportate per le regole in entrata sono le seguenti:

    • Interfacce di rete delle istanze di macchine virtuali (VM).

    • Proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni (anteprima).

  • Le regole in uscita si applicano ai pacchetti per una nuova connessione inviati da un'interfaccia di rete VM di destinazione.

Cloud NGFW valuta sempre le regole nelle policy firewall gerarchiche e nelle policy firewall di sistema regionali prima di valutare qualsiasi altra regola firewall. Controlli l'ordine in cui Cloud NGFW valuta le altre regole firewall scegliendo un ordine di applicazione delle policy del firewall di rete. L'ordine di applicazione dei criteri firewall di rete può essere AFTER_CLASSIC_FIREWALL o BEFORE_CLASSIC_FIREWALL.

AFTER_CLASSIC_FIREWALL Ordine di applicazione delle policy del firewall di rete

Quando l'ordine di applicazione delle policy del firewall di rete è AFTER_CLASSIC_FIREWALL, Cloud NGFW valuta le regole nelle policy del firewall di rete globali e regionali dopo aver valutato le regole firewall VPC. Questo è l'ordine di valutazione predefinito.

In una rete VPC normale che utilizza l'ordine di applicazione AFTER_CLASSIC_FIREWALL, l'ordine di valutazione completo delle regole firewall è il seguente:

  1. Criteri firewall gerarchici.

    Cloud NGFW valuta i criteri firewall gerarchici nel seguente ordine:

    1. Il criterio del firewall gerarchico associato all'organizzazione che contiene la risorsa di destinazione.
    2. Policy firewall gerarchiche associate agli antenati della cartella, dalla cartella di primo livello alla cartella che contiene il progetto della risorsa di destinazione.

    Quando valuta le regole in ogni policy del firewall gerarchica, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall gerarchico, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua con una delle seguenti opzioni:
      • Una policy del firewall gerarchica associata a un predecessore della cartella più vicino alla risorsa di destinazione, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

    Se nessuna regola in un criterio firewall gerarchico corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy del firewall gerarchica associata a un predecessore della cartella più vicino alla risorsa di destinazione, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

  2. Policy del firewall di sistema regionali.

    Quando valuta le regole delle policy del firewall di sistema regionali, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy del firewall di sistema regionale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua fino a
      • Una policy del firewall di sistema regionale con la priorità di associazione più alta successiva, se esistente.
      • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

    Se nessuna regola in un criterio firewall di sistema regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy del firewall di sistema regionale con la priorità di associazione più alta successiva, se esistente.
    • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

  3. Regole firewall VPC.

    Quando valuta le regole firewall VPC, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    Quando una o due regole firewall VPC corrispondono al traffico, l'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.

    Se due regole corrispondono, devono avere la stessa priorità, ma azioni diverse. In questo caso, Cloud NGFW applica la regola firewall VPC deny e ignora la regola firewall VPC allow.

    Se nessuna regola firewall VPC corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita per continuare con il passaggio successivo nell'ordine di valutazione.

  4. Policy del firewall di rete globale.

    Quando valuta le regole in una policy del firewall di rete globale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy del firewall di rete globale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua fino al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

    Se nessuna regola in una policy del firewall di rete globale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

  5. Policy firewall di rete regionali.

    Cloud NGFW valuta le regole nelle policy del firewall di rete regionali associate alla regione e alla rete VPC della risorsa di destinazione.

    Quando valuta le regole in una policy del firewall di rete regionale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete regionale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua con il passaggio successivo nell'ordine di valutazione.

    Se nessuna regola in un criterio firewall di rete regionale corrisponde al traffico, Cloud NGFW utilizza un'azione implicita goto_next. Questa azione continua la valutazione al passaggio successivo nell'ordine di valutazione.

  6. Ultimo passaggio: azione implicita.

    Cloud NGFW applica un'azione implicita se la valutazione della regola firewall è proseguita in ogni passaggio precedente seguendo azioni esplicite o implicite goto_next. L'azione implicita dipende dalla direzione del traffico:

    • Per il traffico in entrata, l'azione implicita dipende anche dalla risorsa di destinazione:

      • Se la risorsa di destinazione è un'interfaccia di rete di un'istanza VM, l'azione di ingresso implicita è deny.

      • Se la risorsa di destinazione è una regola di forwarding di un bilanciatore del carico delle applicazioni interno o di un bilanciatore del carico di rete proxy interno, l'azione di ingresso implicita è allow.

    • Per il traffico in uscita, l'azione implicita è allow.

AFTER_CLASSIC_FIREWALL diagramma

Il seguente diagramma illustra l'ordine di applicazione dei criteri firewall di rete AFTER_CLASSIC_FIREWALL:

Flusso di risoluzione delle regole firewall.
Figura 1. Flusso di risoluzione delle regole firewall se l'ordine di applicazione della policy del firewall di rete è AFTER_CLASSIC_FIREWALL (fai clic per ingrandire).

BEFORE_CLASSIC_FIREWALL Ordine di applicazione delle policy del firewall di rete

Quando l'ordine di applicazione delle policy del firewall di rete è BEFORE_CLASSIC_FIREWALL, Cloud NGFW valuta le regole nelle policy del firewall di rete globali e regionali prima di valutare le regole firewall VPC.

In una rete VPC normale che utilizza l'ordine di applicazione BEFORE_CLASSIC_FIREWALL, l'ordine di valutazione completo delle regole firewall è il seguente:

  1. Criteri firewall gerarchici.

    Cloud NGFW valuta i criteri firewall gerarchici nel seguente ordine:

    1. Il criterio del firewall gerarchico associato all'organizzazione che contiene la risorsa di destinazione.
    2. Policy firewall gerarchiche associate agli antenati della cartella, dalla cartella di primo livello alla cartella che contiene il progetto della risorsa di destinazione.

    Quando valuta le regole in ogni policy del firewall gerarchica, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall gerarchico, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua con una delle seguenti opzioni:
      • Una policy del firewall gerarchica associata a un predecessore della cartella più vicino alla risorsa di destinazione, se esiste.
      • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

    Se nessuna regola in un criterio firewall gerarchico corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy del firewall gerarchica associata a un predecessore della cartella più vicino alla risorsa di destinazione, se esiste.
    • Il passaggio successivo nell'ordine di valutazione, se tutti i criteri firewall gerarchici sono stati valutati.

  2. Policy del firewall di sistema regionali.

    Quando valuta le regole delle policy del firewall di sistema regionali, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy del firewall di sistema regionale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua fino a
      • Una policy del firewall di sistema regionale con la priorità di associazione più alta successiva, se esistente.
      • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

    Se nessuna regola in un criterio firewall di sistema regionale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione in uno dei seguenti modi:

    • Una policy del firewall di sistema regionale con la priorità di associazione più alta successiva, se esistente.
    • Il passaggio successivo nell'ordine di valutazione, se tutte le policy del firewall di sistema a livello regionale sono state valutate.

  3. Policy del firewall di rete globale.

    Quando valuta le regole in una policy del firewall di rete globale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In una policy del firewall di rete globale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • apply_security_profile_group: la regola inoltra il traffico a un endpoint firewall configurato e tutta la valutazione delle regole si interrompe. La decisione di consentire o eliminare il pacchetto dipende dal profilo di sicurezza configurato del gruppo di profili di sicurezza.
    • goto_next: la valutazione della regola continua fino al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

    Se nessuna regola in una policy del firewall di rete globale corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita. Questa azione continua la valutazione al passaggio della policy del firewall di rete regionale nell'ordine di valutazione.

  4. Policy firewall di rete regionali.

    Cloud NGFW valuta le regole nelle policy del firewall di rete regionali associate alla regione e alla rete VPC della risorsa di destinazione.

    Quando valuta le regole in una policy del firewall di rete regionale, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    In un criterio firewall di rete regionale, al massimo una regola può corrispondere al traffico. L'azione della regola firewall in caso di corrispondenza può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.
    • goto_next: la valutazione della regola continua con il passaggio successivo nell'ordine di valutazione.

    Se nessuna regola in un criterio firewall di rete regionale corrisponde al traffico, Cloud NGFW utilizza un'azione implicita goto_next. Questa azione continua la valutazione al passaggio successivo nell'ordine di valutazione.

  5. Regole firewall VPC.

    Quando valuta le regole firewall VPC, Cloud NGFW esegue i seguenti passaggi:

    1. Ignora tutte le regole i cui target non corrispondono alla risorsa di destinazione.
    2. Ignora tutte le regole che non corrispondono alla direzione del pacchetto.
    3. Valuta le regole rimanenti dalla priorità più alta a quella più bassa.

      La valutazione si interrompe quando viene soddisfatta una delle seguenti condizioni:

      • Una regola che si applica alla risorsa di destinazione corrisponde al traffico.
      • Nessuna regola applicabile alla risorsa di destinazione corrisponde al traffico.

    Quando una o due regole firewall VPC corrispondono al traffico, l'azione in caso di corrispondenza della regola firewall può essere una delle seguenti:

    • allow: la regola consente il traffico e tutta la valutazione delle regole si interrompe.
    • deny: la regola nega il traffico e tutta la valutazione delle regole si interrompe.

    Se due regole corrispondono, devono avere la stessa priorità, ma azioni diverse. In questo caso, Cloud NGFW applica la regola firewall VPC deny e ignora la regola firewall VPC allow.

    Se nessuna regola firewall VPC corrisponde al traffico, Cloud NGFW utilizza un'azione goto_next implicita per continuare con il passaggio successivo nell'ordine di valutazione.

  6. Ultimo passaggio: azione implicita.

    Cloud NGFW applica un'azione implicita se la valutazione della regola firewall è proseguita in ogni passaggio precedente seguendo azioni esplicite o implicite goto_next. L'azione implicita dipende dalla direzione del traffico:

    • Per il traffico in entrata, l'azione implicita dipende anche dalla risorsa di destinazione:

      • Se la risorsa di destinazione è un'interfaccia di rete di un'istanza VM, l'azione di ingresso implicita è deny.

      • Se la risorsa di destinazione è una regola di forwarding di un bilanciatore del carico delle applicazioni interno o di un bilanciatore del carico di rete proxy interno, l'azione di ingresso implicita è allow.

    • Per il traffico in uscita, l'azione implicita è allow.

BEFORE_CLASSIC_FIREWALL diagramma

Il seguente diagramma illustra l'ordine di applicazione dei criteri firewall di rete BEFORE_CLASSIC_FIREWALL:

Flusso di risoluzione delle regole firewall.
Figura 2. Flusso di risoluzione delle regole firewall se l'ordine di applicazione della policy del firewall di rete è BEFORE_CLASSIC_FIREWALL (fai clic per ingrandire).

Regole firewall effettive

Le regole delle policy firewall gerarchiche, le regole firewall VPC e le regole delle policy firewall di rete globali e regionali controllano le connessioni. Potrebbe essere utile visualizzare tutte le regole firewall che interessano una singola rete o un'interfaccia VM.

Regole firewall effettive della rete

Puoi visualizzare tutte le regole firewall applicate a una rete VPC. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole firewall VPC
  • Regole applicate dalle policy firewall di rete globali e regionali

Regole firewall effettive dell'istanza

Puoi visualizzare tutte le regole firewall applicate all'interfaccia di rete di una VM. L'elenco include tutti i seguenti tipi di regole:

  • Regole ereditate dai criteri firewall gerarchici
  • Regole applicate dal firewall VPC dell'interfaccia
  • Regole applicate dalle policy firewall di rete globali e regionali

Le regole sono ordinate dal livello dell'organizzazione alla rete VPC. Vengono visualizzate solo le regole che si applicano all'interfaccia VM. Le regole di altre norme non vengono mostrate.

Per visualizzare le regole del criterio firewall effettivo all'interno di una regione, consulta Recuperare i criteri firewall regionali effettivi per una rete.

Passaggi successivi